Digital Garden

생성형 AI 개인정보 보호 가이드: 유료 AI보다 중요한 것은 조직 통제다

#생성형AI #개인정보보호 #개인정보보호위원회 #AI거버넌스 #AI리터러시 #옵트아웃 #국외이전 #업무자료 #ChatGPT #Gemini #Claude #기업용AI #대학컨설팅 #고등교육컨설팅

생성형 AI를 업무에 쓰다 보면 질문은 금방 실무적으로 바뀐다. “AI를 써도 되나?”가 아니라 무엇을 넣어도 되고, 무엇은 절대 넣으면 안 되나가 된다.

개인정보보호위원회가 2026년 5월 「생성형 AI 서비스 이용자를 위한 개인정보 보호 가이드」를 발간했다. 보도자료의 핵심은 이용자가 프롬프트, 사진, 문서, 업무자료를 AI에 입력할 때 개인정보가 어떻게 처리·학습·저장·이전되는지 이해하고, 직접 설정과 통제 기능을 확인해야 한다는 것이다.1

TILNOTE의 정리글은 이 가이드를 바탕으로 ChatGPT, Gemini, Claude, 구글 시트, Notion, Supabase, Firebase, 클라우드 DB, 벡터DB, API 연결까지 실무 체크리스트로 풀어냈다.2

생성형 AI 개인정보 보호 가이드와 업무자료 입력 기준 SEO 이미지
도식: 개인정보보호위원회 가이드와 공개 정리글을 바탕으로 필자의 관점에서 재구성.

핵심은 무료냐 유료냐가 아니다

많이 헷갈리는 지점이 있다. 유료 AI를 쓰면 개인정보를 넣어도 안전하다고 생각하기 쉽다. 하지만 이번 가이드를 업무 관점에서 읽으면 기준은 다르다.

중요한 구분은 무료/유료가 아니라 개인용/기업용/기관용/API/자체 구축이다.

구분 실무 판단
개인용 무료 AI 개인정보·민감정보·비공개 업무자료 입력 금지에 가깝게 운영
개인용 유료 AI 유료여도 조직 통제와 계약이 없으면 업무자료 입력 위험
기업용 AI 관리자 통제, 학습 제외, 보관기간, 로그, 계약 조건 확인 후 제한적 사용
API 기반 AI 위탁, 국외 이전, 보관·삭제, 접근권한, 로그 설계 필요
자체 구축 AI 통제 가능성은 높지만 내부 보안·접근권한 운영이 핵심

그러니까 질문은 이렇게 바뀌어야 한다.

“이 AI가 유료인가?”가 아니라,
“우리 조직이 이 AI의 데이터 흐름을 통제할 수 있는가?”

이게 [[생성형 AI 개인정보 보호]]의 출발점이다.

입력하지 말아야 할 정보는 먼저 정해야 한다

가이드의 실무적 의미는 “설정을 잘 만지면 무엇이든 넣을 수 있다”가 아니다. 오히려 반대다. 어떤 정보는 설정과 무관하게 처음부터 넣지 않는 것이 안전하다.

예를 들면 다음과 같다.

  • 주민등록번호, 여권번호, 계좌번호, 카드번호
  • 비밀번호, 인증코드, 신분증 사본
  • 의료기록, 진단서, 상담기록 원문
  • 고객명단, 후원자 명단, 지원자 이력서 원문
  • 직원 평가자료
  • 회사 대외비, 비공개 소스코드
  • 계약서 원문 중 민감 조항

특히 기관·대학·기업에서는 “내 정보”와 “조직이 보유한 타인의 정보”를 구분해야 한다. 개인이 자기 정보를 직접 입력하는 것과, 직원이 고객·학생·직원·민원인 정보를 외부 AI에 입력하는 것은 완전히 다른 문제다.

대학이나 공공기관이라면 학생 상담기록, 비교과 참여자료, 민원 내용, 장학 관련 정보, 채용·평가자료, 연구참여자 정보가 여기에 들어간다. 이건 생산성 도구의 문제가 아니라 [[AI 업무자료 통제]]의 문제다.

학습 설정을 꺼도 위험이 0이 되지는 않는다

많은 서비스가 “모델 개선에 사용하지 않기”, “대화 기록 끄기”, “임시 채팅” 같은 기능을 제공한다. 확인해야 한다. 다만 이 설정을 껐다고 해서 모든 개인정보 위험이 사라지는 것은 아니다.

TILNOTE 정리에서도 강조하듯, 학습 활용 설정을 꺼도 서비스 제공, 보안 점검, 오류 대응, 법적 의무 이행 등을 위해 데이터가 일정 기간 보관될 수 있다.2

그래서 점검 순서는 이렇게 가야 한다.

점검 항목 확인할 것
학습 활용 입력 데이터가 모델 학습 또는 서비스 개선에 쓰이는가
대화 기록 기록 저장 여부와 삭제 방법이 있는가
보관 기간 삭제 후에도 운영·보안·백업 목적으로 남는 기간이 있는가
외부 연동 메일, 드라이브, 캘린더, DB, API와 연결되어 있는가
국외 이전 해외 서버, 해외 법인, 하위처리자를 거치는가
계정 유형 개인용 계정인가, 조직이 관리하는 기업·기관용 계정인가

여기서 중요한 개념이 [[옵트아웃]]이다. 이용자가 모델 학습 활용을 거부하거나 기록 저장을 제한할 수 있어야 한다. 그러나 옵트아웃은 “민감정보를 넣어도 된다”는 허가증이 아니다. 위험을 줄이는 장치일 뿐이다.

ChatGPT·Gemini·Claude는 설정보다 사용 맥락이 중요하다

ChatGPT, Gemini, Claude 모두 개인정보 설정이나 데이터 제어 메뉴가 있다. 문제는 메뉴 위치를 외우는 것보다, 사용자가 어떤 계정으로 어떤 자료를 넣는지다.

개인용 ChatGPT Plus에 회사 회의록을 넣는 것과, 조직이 승인한 기업용 AI 환경에서 비식별 회의 요약을 처리하는 것은 다르다. 개인 Google 계정의 Gemini에서 Drive 확장 기능을 켜는 것과, 학교·회사 Workspace 관리자가 통제하는 Gemini를 쓰는 것도 다르다.

특히 Gemini처럼 Gmail, Google Drive, Calendar와 연결될 수 있는 서비스는 편리한 만큼 위험도 커진다. AI가 읽어도 되는 문서만 연결되어 있는지, 확장 프로그램 권한이 필요한 범위로 제한되어 있는지 봐야 한다.

이 지점은 [[AI 리터러시]]가 단순 프롬프트 기술이 아니라는 것을 보여준다. 이제 AI 리터러시는 무엇을 질문할지뿐 아니라 무엇을 넣지 않을지, 어떤 계정과 환경에서 쓸지, 어떤 기록이 남는지를 아는 능력까지 포함한다.

DB·API·구글 시트를 연결할 때는 더 엄격해야 한다

개별 프롬프트보다 더 위험한 것은 데이터베이스와 AI를 연결하는 경우다. 구글 시트, Notion, Supabase, Firebase, 클라우드 DB, 벡터DB, API를 AI와 연결하면 한 번의 질문이 다량의 개인정보 접근으로 이어질 수 있다.

따라서 AI와 DB를 연결할 때는 최소한 다음이 먼저 설계되어야 한다.

설계 항목 질문
목적 AI가 이 데이터를 왜 읽어야 하는가
범위 어떤 테이블·필드·문서만 접근하게 할 것인가
비식별화 이름, 연락처, 식별자, 민감정보를 줄였는가
권한 읽기 전용인가, 쓰기 권한까지 있는가
로그 누가 어떤 데이터에 접근했는지 남는가
보관·삭제 입력·출력·로그를 언제 삭제하는가
국외 이전 해외 클라우드나 하위처리자를 거치는가

개인정보위 보도자료는 외부 서비스 연동 시 안전성, 업무 관련 자료 입력 시 주의사항, 개인정보의 해외 이전 가능성을 주요 이슈로 다룬다.1 이건 개발자만의 문제가 아니다. 기획자, 관리자, 교수자, 컨설턴트가 같이 봐야 할 운영 설계다.

대학과 기관은 사용금지보다 사용 기준이 필요하다

기관에서 흔히 나오는 대응은 두 가지다.

하나는 “AI 금지”다. 이해는 되지만 오래가기 어렵다. 업무에서 AI 사용은 이미 일상화되고 있고, 금지만 하면 개인용 계정과 비공식 사용으로 흘러갈 가능성이 크다.

다른 하나는 “알아서 조심”이다. 이것도 위험하다. 개인정보 보호는 개인의 감각에 맡길 수 있는 문제가 아니다.

대학·공공기관·기업에는 최소한 다음의 기준이 필요하다.

  1. 입력 금지 정보 목록
    주민번호, 상담기록, 평가자료, 고객·학생 명단 등은 명시적으로 금지한다.

  2. 비식별 처리 기준
    이름만 지우는 것이 아니라 재식별 가능성을 줄이는 방식까지 정한다.

  3. 승인된 AI 도구 목록
    개인용 AI, 기업용 AI, API, 내부 시스템을 구분한다.

  4. 업무유형별 사용 예시
    회의록 요약, 문서 초안, 민원 분류, 교육자료 제작 등에서 허용·금지 사례를 만든다.

  5. 외부 연동 기준
    Drive, Sheet, Notion, DB, API 연결 시 권한·로그·삭제 기준을 정한다.

  6. 사고 대응 절차
    개인정보가 AI 결과물에 포함되거나 외부 공유된 경우 삭제, 보고, 재발방지 절차를 둔다.

이 정도는 있어야 “AI를 쓰지 말라”가 아니라 “어떤 조건에서 안전하게 쓸 수 있다”로 넘어갈 수 있다. 대학컨설팅 관점에서 보면 이것은 [[AI 거버넌스]]의 가장 작은 단위다.

실무 체크리스트

생성형 AI를 업무에 쓰기 전, 나는 다음 10개를 최소 체크리스트로 본다.

  • 이 자료에 개인정보나 민감정보가 들어 있는가
  • 타인의 정보가 포함되어 있는가
  • 개인용 AI 계정인지 조직 승인 계정인지 확인했는가
  • 모델 학습 활용 설정을 확인했는가
  • 대화 기록 저장과 삭제 방식을 확인했는가
  • 파일 업로드가 꼭 필요한가
  • 구글 Drive, Gmail, Calendar, DB 같은 외부 연동이 켜져 있는가
  • 비식별화 후에도 재식별 가능성이 남아 있는가
  • 국외 이전·위탁·하위처리자 검토가 필요한가
  • 결과물에 개인정보가 섞여 나오면 어떻게 처리할지 정해져 있는가

이 체크리스트를 통과하지 못하면, AI를 쓰지 말자는 뜻이 아니다. 먼저 자료를 줄이고, 비식별화하고, 승인된 환경으로 옮기고, 기록과 삭제 기준을 정한 뒤 쓰자는 뜻이다.

결론: AI 활용 능력은 통제 능력까지 포함한다

생성형 AI는 업무 생산성을 높인다. 문서 초안, 요약, 분류, 아이디어 정리, 코드 작성, 데이터 분석까지 이미 쓸 곳이 많다. 하지만 업무자료와 개인정보가 섞이는 순간, 문제는 프롬프트 실력이 아니라 통제 구조가 된다.

이번 개인정보위 가이드는 “AI를 쓰지 말라”는 문서가 아니다. 오히려 AI를 일상적으로 쓰게 된 상황에서, 이용자가 자기 정보를 이해하고 통제해야 한다는 메시지에 가깝다.

기관과 대학 입장에서는 한 걸음 더 나가야 한다. 개인에게 조심하라고만 말할 것이 아니라, 어떤 AI를 승인할지, 어떤 자료를 금지할지, 어떤 환경에서 처리할지, 어떤 로그와 삭제 기준을 둘지 정해야 한다.

나는 앞으로 AI 활용 역량을 이렇게 봐야 한다고 생각한다.

AI를 잘 쓰는 조직은 많이 쓰는 조직이 아니라,
넣어도 되는 것과 넣으면 안 되는 것을 구분할 수 있는 조직이다.

확인한 출처

  1. 개인정보보호위원회, 「개인정보위, 「생성형 AI 서비스 이용자를 위한 개인정보 보호 가이드」 발간」, 2026. 5. 19.  2

  2. TILNOTE, 「생성형 AI 개인정보 보호 가이드 요약」, 개인정보보호위원회 가이드 기반 정리.  2